مشکل در نصب SNORT

[Mahdi-t]

سلام
الان یک ساعته اینجا مونده

---

موضوعات مشابه:

• نحوه ی ارسال تمام گزارش های snort به kiwi
• snort in windows
• Snort + Fedora
• IDS و Snort
• IDS و Snort

---

[darklove]

شما طبق چه منابع اقدام به نصب کردید ؟
این مرحله تنظیمات فایل را فراخوانی کرده و یک pid به خود اختصاص داده است.

[Mahdi-t]

هیچ log هم به syslog server نمیفرسته

- - - ادامه - - -

خود سایت Snort
+
Youtube

[Mahdi-t]

up

[darklove]

در مسیر

کد:

 c:\snort\log

فایل ایجاد کرده است ؟

[Mahdi-t]

بله
من میخوام Log هارو به Kiwi بفرسته

کد:

output alert_syslog: host=192.168.10.1:514, LOG_AUTH LOG_ALERT

ولی انجام نمیشه

[Mahdi-t]

نصب شد و لاگ هم میفریسته
مشکلی که دارم اینه که مثلا من یه رول نوشتم تا لاک بندازه IP کسانی که به سرور های من Remote میزنن
رنج سرور هامو گذاشتم HOME_NET
و مابقی شبکه رو EXTERNAL_NET
اما فقط وقتی به خود Snort ریموت میزنی Log میندازه

- - - ادامه - - -
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg: "RDP connection request"; content: "|03|"; offset: 0; depth: 1; content: "|E0|"; offset: 5; depth: 1; flow: to_server; sid:1000001; )

[darklove]

نمونه فایل تنظیمات.

[Mahdi-t]

snort.conf

[darklove]

کد:

alert tcp any any ->; 192.168.1.0/24 3389(sid:1002345;rev:2;msg: "RDP connection request"; content: "RDP";;)

امتحان نمائید.

[Mahdi-t]

مشکل پا برجاست
مشکل من اینه که فقط وقتی به خود Snort ریموت میزنن لاگ میندازه نه کلیه سرورهای هم رنج خودش

[darklove]

یادم رفت بپرسم، Snort شما GW سرورهای شماست ؟

[Mahdi-t]

No
باید باشه حتماً؟

[darklove]

بله، انتظار دارید چطور تشخیص دهد به سرور Remote زده شده یا .... ؟

[peymansham]

Snort خودش مثل یک جاسوس شبکه رو sniff میکنه
حتما نباید GW باشه